BMW MC Klubben

Sedan en månad tillbaka får jag den här varningen när jag går in på BMW-klubbens hemsida.
Vad jag förstår beror det på att klubben inte använder HTTPS-protokoll ! Det är kanske inte alls spelar någon
roll då hemsidan normalt inte hanterar några känsliga uppgifter (annat än användarnamn & lösenord).
Lägger man själv till https://www..... i adressen så försvinner varningen!

Det är dock lite störande, tycker jag!

Det beror på att bmwklubben använder http och inte https.

Skillnaden är att https-protokollet kräver ett certifikat som identifierar BMW-klubbens server (eller snarare domän) och dessutom krypteras trafiken. Annars kan nån i teorin fejka BMW-klubbens server och utföra en s.k. man-in-the-middle attack och ligga och lyssna av trafiken.

Det enda som har ändrats är att Chrome och andra webläsare börjat klaga mer högljutt på det. Förut var det tvärt om, man fick en liten symbol som visade att det var https och "säkert" men nu har man bytt fot.

BMW-klubben kan naturligtvis gå över till https, om man vill, men hurvida man vill göra det eller ej får styrelsen ta ställning till. Personligen tycker jag inte det är viktigt men avvikande uppfattningar kan förekomma.

Vid https så krypteras trafiken mellan webservern och webläsaren. Och det finns ingen anledning att kryptera data på en offentlig hemsida. Det slöar bara ner i onödan. Och datat är ju offentligt.

Kräver man en inloggning så skall man alltid ha ett certifikat och kryptera trafiken. Oavsett om datat man hämtar efter en inloggning är känsligt eller inte. Orsaken är att själva inloggningen är okrypterad annars. Och användarnamn och lösenord kan snappas upp av utomstående.

Olof Eriksson skrev:det finns ingen anledning att kryptera data på en offentlig hemsida. Det slöar bara ner i onödan. Och datat är ju offentligt.

Kräver man en inloggning så skall man alltid ha ett certifikat och kryptera trafiken. Oavsett om datat man hämtar efter en inloggning är känsligt eller inte.

Men nu säger du väl emot dig själv!
Det är ju just det! Både hemsidan och forumet kräver ju separata inloggningar!

Jag menar den offentliga delen Håkan.

Jag har personligen efter lite funderande bytt fot och anser nog att man borde följa med tiden och gå över till https.

Argumentet för är att Google och andra har tydligt aviserat att deras browser kommer att klaga allt mer högljutt och att man allmänt kommer att vara otrevlig mot sidor utan certifikat. Folk som inte är insatta i webbsaker kommer att undra och fråga.
Och om man bara krypterar det som är hemligt så blir det enklare för dom dumma att hitta "hemlig" trafik.

Man har tid att vänta de extra 10-20ms (max!) som kryptering/dekryptering tar och kostnaden för ett cert är 1000-2000 SEK per år och tar väl ett par mantimmar max att sätta upp.

Men det är naturligtvis upp till Styrelsen och webmastern att besluta om.

Det korta svaret är att arbetet påbörjats.
På senaste årsmötet togs planen för året och där finns hemsidan med.
Så det är faktiskt ni som beslutat att det var rätt väg att gå.

Lite OT apropå Magnus´avslutande devis: "Alla vill leva länge, men ingen vill bli gammal."
Vem som sade det, vet jag inte.

Everybody wants to go to heaven; but nobody wants to die.

Klassisk blueslåt och ett tema från tidernas morgon.


Buy quality, cry once

Hej alla

Precis som Magnus M skrivit ovan så har det beslutats om en förnyelse av hemsidan och kringsystemen. Arbetet har pågått med planering och kostnadsuppskattningar under sommar och höst. Nu är arbetet igång och vi planerar att vara klara under 2019 för att sjösätta den nya hemsidan.

Säkerhet i olika former är prioriterat ism med detta. Inte minst disciplinen informationssäkerhet behöver sin dos för att vi skall hänga med i tiden.
Enkelhet och förbättrad anpassning mot dagens mobila plattformar kommer att ses över.

En liten funktion blir där också som räknar inlägg av Kovlingen, max 20 per dag enligt hur jag ser på det nu men det kan ändra sig - uppåt eller nedåt.

Med vänlig hälsning, Magnus

Magnus Brobeck skrev:En liten funktion blir där också som räknar inlägg av Kovlingen,
max 20 per dag enligt hur jag ser på det nu men det kan ändra sig

Får väl hoppas att det räknas åt rätt håll då